A Comissão de Valores Mobiliários dos EUA está lançando sua própria investigação sobre a vulnerabilidade na ferramenta de transferência MOVEit da Progress Software, que expôs dados de mais de 2.000 organizações e 60 milhões de indivíduos.
Rastreada como CVE-2023-34362, a falha foi explorada como dia zero pelo notório grupo de ransomware Cl0p, ligado à Rússia, para roubar dados de organizações que usam o software de transferência gerenciada de arquivos (MFT) MOVEit Transfer.
Das organizações vítimas, cerca de 900 são escolas nos Estados Unidos, impactadas indiretamente através do fornecedor de serviços terceirizado National Student Clearinghouse, que usava o software MOVEit no momento do ataque.
Em seu último Preenchimento do Formulário 10-Q junto à SEC, a Progress Software confirmou que a comissão lançou sua própria investigação sobre o incidente, além das investigações lançadas por reguladores de privacidade de dados, procuradores-gerais e uma agência de aplicação da lei dos EUA.
“Em 2 de outubro de 2023, a Progress recebeu uma intimação da SEC buscando vários documentos e informações relacionadas à vulnerabilidade do MOVEit”, observa a Progress no processo.
“Nesta fase, a investigação da SEC é uma investigação de apuração de fatos, a investigação não significa que a Progress ou qualquer outra pessoa tenha violado as leis federais de valores mobiliários, e a investigação não significa que a SEC tenha uma opinião negativa sobre qualquer pessoa, entidade, ou segurança. A Progress pretende cooperar totalmente com a SEC em sua investigação”, acrescentou a empresa.
O processo também revela que indivíduos que alegam ter sido impactados pelo incidente MOVEit entraram com 58 ações coletivas contra a Progress, e que 23 clientes e outras entidades enviaram cartas à empresa, alegando impacto e intenção de buscar indenização.
“Nos três e nove meses encerrados em 31 de agosto de 2023, incorremos em US$ 1,0 milhão em custos relacionados à vulnerabilidade MOVEit. Os custos reconhecidos são líquidos de recuperações de seguros recebidas e esperadas de aproximadamente US$ 1,9 milhão”, acrescentou a empresa.
A Progress Software também disse que inquéritos e investigações governamentais podem resultar em “julgamentos adversos, acordos, multas, penalidades ou outras resoluções, cujo valor, escopo e momento podem ser materiais, mas que atualmente não podemos prever”.